Przewodnik referencyjny dotyczący operacji Zarządzanie tożsamością Microsoft Entra
W tej sekcji przewodnika dokumentacji dotyczącej operacji firmy Microsoft opisano kontrole i działania, które należy wykonać, aby ocenić i potwierdzić dostęp udzielony nieuprzywilejowany i uprzywilejowany tożsamości, inspekcja i kontrola zmian w środowisku.
Uwaga
Te zalecenia są aktualne od daty opublikowania, ale mogą ulec zmianie w czasie. Organizacje powinny stale oceniać swoje praktyki zapewniania ładu w miarę rozwoju produktów i usług firmy Microsoft w miarę upływu czasu.
Kluczowe procesy operacyjne
Przypisywanie właścicieli do kluczowych zadań
Zarządzanie identyfikatorem Entra firmy Microsoft wymaga ciągłego wykonywania kluczowych zadań operacyjnych i procesów, które mogą nie być częścią projektu wdrażania. Nadal ważne jest skonfigurowanie tych zadań w celu zoptymalizowania środowiska. Najważniejsze zadania i ich zalecanych właścicieli obejmują:
| Zadanie | Właściciel |
|---|---|
| Archiwizowanie dzienników inspekcji firmy Microsoft Entra w systemie SIEM | Zespół operacyjny programu InfoSec |
| Odnajdywanie aplikacji zarządzanych poza zgodnością | Zespół operacyjny ds. tożsamości |
| Regularne przeglądanie dostępu do aplikacji | Zespół architektury programu InfoSec |
| Regularne przeglądanie dostępu do tożsamości zewnętrznych | Zespół architektury programu InfoSec |
| Regularnie sprawdzaj, kto ma uprzywilejowane role | Zespół architektury programu InfoSec |
| Definiowanie bram zabezpieczeń w celu aktywowania ról uprzywilejowanych | Zespół architektury programu InfoSec |
| Regularne przeglądanie udzielanych zgody | Zespół architektury programu InfoSec |
| Projektowanie katalogów i pakietów dostępu dla aplikacji i zasobów opartych na pracownikach w organizacji | Właściciele aplikacji |
| Definiowanie zasad zabezpieczeń w celu przypisania użytkowników do pakietów dostępu | Zespół programu InfoSec i właściciele aplikacji |
| Jeśli zasady obejmują przepływy pracy zatwierdzania, regularnie przeglądaj zatwierdzenia przepływu pracy | Właściciele aplikacji |
| Przegląd wyjątków w zasadach zabezpieczeń, takich jak zasady dostępu warunkowego, przy użyciu przeglądów dostępu | Zespół operacyjny programu InfoSec |
Podczas przeglądania listy może być konieczne przypisanie właściciela do zadań, które nie mają właściciela lub dostosowanie własności do zadań z właścicielami, którzy nie są zgodni z powyższymi zaleceniami.
Zalecane czytanie przez właściciela
Testowanie zmian konfiguracji
Istnieją zmiany, które wymagają specjalnych zagadnień podczas testowania, od prostych technik, takich jak wdrażanie docelowego podzbioru użytkowników w celu wdrożenia zmiany w dzierżawie testów równoległych. Jeśli nie zaimplementowano strategii testowania, należy zdefiniować podejście testowe na podstawie wytycznych w poniższej tabeli:
| Scenariusz | Zalecenie |
|---|---|
| Zmiana typu uwierzytelniania z federacyjnego na PHS/PTA lub odwrotnie | Użyj wprowadzania etapowego, aby przetestować wpływ zmiany typu uwierzytelniania. |
| Wdrażanie nowych zasad dostępu warunkowego lub zasad ochrony tożsamości | Utwórz nowe zasady dostępu warunkowego i przypisz je do użytkowników testowych. |
| Dołączanie środowiska testowego aplikacji | Dodaj aplikację do środowiska produkcyjnego, ukryj ją z panelu MyApps i przypisz ją do użytkowników testowych w fazie zapewniania jakości (QA). |
| Zmienianie reguł synchronizacji | Przeprowadź zmiany w testowym programie Microsoft Entra Connect z tą samą konfiguracją, która jest obecnie w środowisku produkcyjnym, znana również jako tryb przejściowy, i analizuj wyniki CSExport. W przypadku spełnienia tego celu zamień na środowisko produkcyjne, gdy wszystko będzie gotowe. |
| Zmiana znakowania | Testowanie w oddzielnej dzierżawie testowej. |
| Wdrażanie nowej funkcji | Jeśli funkcja obsługuje wdrażanie w docelowym zestawie użytkowników, zidentyfikuj użytkowników pilotażowych i skompiluj je. Na przykład samoobsługowe resetowanie haseł i uwierzytelnianie wieloskładnikowe może dotyczyć określonych użytkowników lub grup. |
| Przecięcie aplikacji z lokalnego dostawcy tożsamości (IdP), na przykład usługi Active Directory, do identyfikatora Entra firmy Microsoft | Jeśli aplikacja obsługuje wiele konfiguracji dostawcy tożsamości, na przykład Salesforce, skonfiguruj zarówno identyfikator Firmy Microsoft Entra, jak i podczas okna zmiany (w przypadku wprowadzenia strony HRD przez aplikację). Jeśli aplikacja nie obsługuje wielu dostawców tożsamości, zaplanuj testowanie podczas okna sterowania zmianą i przestoju programu. |
| Aktualizowanie reguł grupy dynamicznej | Utwórz równoległą grupę dynamiczną przy użyciu nowej reguły. Porównaj z wynikiem obliczeniowym, na przykład uruchom program PowerShell z tym samym warunkiem. W przypadku testu zamień miejsca, w których była używana stara grupa (jeśli jest to możliwe). |
| Migrowanie licencji produktów | Zapoznaj się z tematem Zmienianie licencji dla pojedynczego użytkownika w grupie licencjonowanej w usłudze Microsoft Entra ID. |
| Zmienianie reguł usług AD FS, takich jak autoryzacja, wystawianie, uwierzytelnianie wieloskładnikowe | Użyj oświadczenia grupy, aby kierować podzbiór użytkowników. |
| Zmienianie środowiska uwierzytelniania usług AD FS lub podobnych zmian w całej farmie | Utwórz farmę równoległą o tej samej nazwie hosta, zaimplementuj zmiany konfiguracji, przetestuj od klientów przy użyciu plików HOSTS, reguł routingu równoważenia obciążenia sieciowego lub podobnego routingu. Jeśli platforma docelowa nie obsługuje plików HOSTS (na przykład urządzeń przenośnych), zmień kontrolę. |
Przeglądy dostępu
Przeglądy dostępu do aplikacji
W miarę upływu czasu użytkownicy mogą gromadzić dostęp do zasobów w miarę przenoszenia się przez różne zespoły i stanowiska. Ważne jest, aby właściciele zasobów regularnie przeglądali dostęp do aplikacji i usuwali uprawnienia, które nie są już potrzebne w całym cyklu życia użytkowników. Przeglądy dostępu firmy Microsoft Entra umożliwiają organizacjom efektywne zarządzanie członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról. Właściciele zasobów powinni regularnie przeglądać dostęp użytkowników, aby upewnić się, że tylko odpowiednie osoby mają stały dostęp. W idealnym przypadku należy rozważyć użycie przeglądów dostępu firmy Microsoft Entra dla tego zadania.
Uwaga
Każdy użytkownik, który korzysta z przeglądów dostępu, musi mieć płatną licencję Microsoft Entra ID P2.
Przeglądy dostępu do tożsamości zewnętrznych
Niezwykle ważne jest zapewnienie dostępu do tożsamości zewnętrznych ograniczonych tylko do potrzebnych zasobów w wymaganym czasie. Ustanów regularny proces automatycznego przeglądu dostępu dla wszystkich tożsamości zewnętrznych i dostępu do aplikacji przy użyciu przeglądów dostępu firmy Microsoft Entra. Jeśli proces już istnieje lokalnie, rozważ użycie przeglądów dostępu firmy Microsoft Entra. Gdy aplikacja zostanie wycofana lub nie będzie już używana, usuń wszystkie tożsamości zewnętrzne, które miały dostęp do aplikacji.
Uwaga
Każdy użytkownik, który korzysta z przeglądów dostępu, musi mieć płatną licencję Microsoft Entra ID P2.
Zarządzanie kontami uprzywilejowanym
Użycie konta uprzywilejowanego
Hakerzy często kierują konta administratora i inne elementy uprzywilejowanego dostępu, aby szybko uzyskać dostęp do poufnych danych i systemów. Ponieważ użytkownicy z rolami uprzywilejowanymi zwykle gromadzą się wraz z upływem czasu, ważne jest regularne przeglądanie dostępu administratora i zarządzanie nim oraz zapewnianie uprzywilejowanego dostępu just in time do zasobów firmy Microsoft Entra i zasobów platformy Azure.
Jeśli w organizacji nie istnieje żaden proces zarządzania kontami uprzywilejowanymi lub obecnie masz administratorów, którzy używają swoich zwykłych kont użytkowników do zarządzania usługami i zasobami, należy natychmiast rozpocząć korzystanie z oddzielnych kont, na przykład jeden dla zwykłych codziennych działań; drugi dla uprzywilejowanego dostępu i skonfigurowany za pomocą uwierzytelniania wieloskładnikowego. Jeśli twoja organizacja ma subskrypcję Microsoft Entra ID P2, należy natychmiast wdrożyć usługę Microsoft Entra Privileged Identity Management (PIM). W tym samym tokenie należy również przejrzeć te uprzywilejowane konta i przypisać mniej uprzywilejowane role , jeśli ma to zastosowanie.
Innym aspektem zarządzania kontami uprzywilejowanymi, które należy zaimplementować, jest definiowanie przeglądów dostępu dla tych kont, ręcznie lub automatycznie za pośrednictwem usługi PIM.
Zalecane odczyty dotyczące zarządzania kontami uprzywilejowanym
Konta dostępu awaryjnego
Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane do roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub "break glass", w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi konta dostępu awaryjnego.
Uprzywilejowany dostęp do witryny Azure EA Portal
Portal azure Umowa Enterprise (Azure EA) umożliwia tworzenie subskrypcji platformy Azure względem Umowa Enterprise głównego, co jest zaawansowaną rolą w przedsiębiorstwie. Tworzenie tego portalu jest powszechne przed pobraniem identyfikatora Entra firmy Microsoft, dlatego konieczne jest użycie tożsamości firmy Microsoft Entra w celu zablokowania go, usunięcia kont osobistych z portalu, upewnienia się, że istnieje odpowiednie delegowanie i ograniczenie ryzyka blokady.
Aby było jasne, jeśli poziom autoryzacji w witrynie EA Portal jest obecnie ustawiony na "tryb mieszany", musisz usunąć wszystkie konta Microsoft ze wszystkich uprzywilejowanych dostępu w witrynie EA Portal i skonfigurować portal EA do używania tylko kont Microsoft Entra. Jeśli delegowane role w witrynie EA Portal nie są skonfigurowane, należy również znaleźć i zaimplementować delegowane role dla działów i kont.
Zalecany odczyt dostępu uprzywilejowanego
Zarządzanie upoważnieniami
Zarządzanie upoważnieniami (EM) umożliwia właścicielom aplikacji łączenie zasobów i przypisywanie ich do określonych osób w organizacji (zarówno wewnętrznych, jak i zewnętrznych). EM umożliwia samoobsługowe rejestrowanie i delegowanie właścicielom firm przy zachowaniu zasad ładu w celu udzielania dostępu, ustawiania czasu trwania dostępu i zezwalania na przepływy pracy zatwierdzania.
Uwaga
Microsoft Entra Entitlement Management wymaga licencji microsoft Entra ID P2.
Podsumowanie
Istnieje osiem aspektów bezpiecznego zarządzania tożsamościami. Ta lista pomoże zidentyfikować akcje, które należy wykonać, aby ocenić i potwierdzić dostęp udzielony nieuprzywilejowanym i uprzywilejowanym tożsamościom, inspekcji i kontroli zmian w środowisku.
- Przypisz właścicieli do kluczowych zadań.
- Zaimplementuj strategię testowania.
- Użyj przeglądów dostępu firmy Microsoft Entra, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról.
- Ustanów regularny, zautomatyzowany proces przeglądu dostępu dla wszystkich typów tożsamości zewnętrznych i dostępu do aplikacji.
- Ustanów proces przeglądu dostępu, aby regularnie przeglądać dostęp administratora i zarządzać nim oraz zapewnić uprzywilejowany dostęp just in time do zasobów microsoft Entra ID i Azure.
- Aprowizuj konta awaryjne, aby przygotować się do zarządzania identyfikatorem Entra firmy Microsoft pod kątem nieoczekiwanych awarii.
- Zablokuj dostęp do witryny Azure EA Portal.
- Zaimplementuj zarządzanie upoważnieniami, aby zapewnić zarządzany dostęp do kolekcji zasobów.
Następne kroki
Rozpocznij pracę z operacjami i akcjami firmy Microsoft Entra.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla